Risiko/Management/tmp: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Risikomanagement/tmp nach Risiko/Management/tmp: Textersetzung - „Risikomanagement“ durch „Risiko/Management“ |
|||
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''IT-Risikomanagement''' - QUELLENSAMMLUNG | '''IT-Risikomanagement''' - QUELLENSAMMLUNG | ||
=== Risikomanagement === | === Risikomanagement === | ||
; Bedeutung | ; Bedeutung | ||
* Risikomanagement gewinnt an Bedeutung | * Risikomanagement gewinnt an Bedeutung | ||
* strategischen Bedeutung von | * strategischen Bedeutung von IT-Projekten | ||
* IT-Projekte werden anspruchsvoller und komplexer | |||
=== Risikomanagement umfasst === | |||
; Festlegungen von Zielen auf Basis der Definition einer Strategie | ; Festlegungen von Zielen auf Basis der Definition einer Strategie | ||
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle | * ggf. auch Visionen der das Risikomanagement anwendenden Stelle | ||
Zeile 152: | Zeile 140: | ||
* Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken. | * Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken. | ||
=== Schlussfolgerung === | === Schlussfolgerung === | ||
* Auch bei einfachem Angreifermodell sehr hohes Risiko | * Auch bei einfachem Angreifermodell sehr hohes Risiko | ||
Zeile 394: | Zeile 145: | ||
* Zeitliche Entwicklung beachten | * Zeitliche Entwicklung beachten | ||
== Leitbild für das IT-Management == | |||
* Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse. | * Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse. | ||
* Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen. | * Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen. | ||
Zeile 408: | Zeile 152: | ||
* In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten. | * In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten. | ||
* COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen. | * COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen. | ||
[[Kategorie:Tmp]] | [[Kategorie:Tmp]] | ||
Aktuelle Version vom 31. Oktober 2024, 14:26 Uhr
IT-Risikomanagement - QUELLENSAMMLUNG
Risikomanagement
- Bedeutung
- Risikomanagement gewinnt an Bedeutung
- strategischen Bedeutung von IT-Projekten
- IT-Projekte werden anspruchsvoller und komplexer
Risikomanagement umfasst
- Festlegungen von Zielen auf Basis der Definition einer Strategie
- ggf. auch Visionen der das Risikomanagement anwendenden Stelle
- Ohne konkrete Ziele lassen sich keine Abweichungen messen
- Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
- Festlegung einer Risikomanagement-Strategie
- abhängig von der Risikobereitschaft
- risikoavers, risikoneutral oder risikofreudig
- Identifikation von Risiken
- Bewertung/Messung von Risiken
- Bewältigung von Risiken
- Steuerung der Risikoabwehr
- Monitoring, also Früherkennung
- Strukturierung und Dokumentation in einem Risikomanagementsystem
- Prozesse im Risikomanagement
- Risikomanagementprozess
- Phasen
- Risikoanalyse
- Risikobewertung
- Risikominimierung
- Risikokontrolle
- Risikoverfolgung
- Phasen
- Informationssicherheit-Risikomanagement-Prozess
- Risikomanagement
- Teile des Risikomanagements
- Erkennung und Bewertung von Risiken
- Erarbeitung und Umsetzung von Maßnahmen
- optimale Lösung finden
- Risiken auf akzeptable Restrisiken reduzieren
- wichtigste Gefahrenquellen erkennen und abschwächen
- Teile des Risikomanagements
- Für jeden dieser Prozesse gilt
- In Abhängigkeit der Bedürfnisse
- wird der Aufwand einer oder mehrerer Personen gefordert
- Jeder Prozess wird mindestens einmal durchlaufen
- Jeder Prozess tritt in einer oder mehreren Projektphasen auf
Überschneidung der Prozesse ist möglich
- Risikomanagement
- Risikomanagement-Prozesse
- Risikomanagementplanung
- Wie wird das Risikomanagement organisiert?
- Wie viel Risikomanagement ist nötig?
- Haben wir Erfahrungswerte in dieser Projektart?
- Zuständigkeiten
- Checklisten
- Risikoidentifikation
- Identifizierung potenzieller Risiken
- Dokumentenanalyse
- Brainstorming
- SWOT-Analyse
- Ursache-Wirkungs-Analysen
- Qualitative Risikoanalyse
- Eintrittswahrscheinlichkeit sowie Auswirkung
- Priorisierung (z. B. A, B und C-Risiken)
- Risikomanagement
- Bedeutung
- Weitere Risiken
- IT-Operations (Risiken aus dem laufenden Betrieb)
- Administrative Fehler
- Systemausfall
- IT-Security (Sicherheitsrisiken)
- Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
- Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
- Nicht näher spezifizierte Risiken
- Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software
Konzeptionierungsfehler
Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.
- Risikomanagementplanung
- Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
- Risikomanagementplanung legt Vorgehensweise fest
- Planung soll sicherstellen
- Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
- Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
- Erfolgschancen erhöhen
- gut strukturierte und sorgfältig vorbereitete Planung
- erleichtert Durchführung der anderen Risikomanagement-Prozesse
- Erstellung eines Risikomanagementplans
- Zusammenarbeit mit
- Projektleitern und -mitgliedern
- Stakeholdern
- für das Risikomanagement im Unternehmen zuständige Mitarbeiter
- Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
- des Unternehmens und
- der Projektbeteiligten
- Hilfreich zur Erstellung
- bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
- allgemein oder aus vorangegangenen Projekten
- Prozesse im Risikomanagement
- Risikomanagementplan
- Inhalte
- Methodologie
- Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
- Rollen und Verantwortlichkeiten
- Organisation des Projektteams, Hierarchien
- Budgetierung
- Kostenschätzung, benötigte Einsatzmittel
- Zeitliche Planung
- Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
- Risikokategorien
- Strukturen für die Risikoidentifikation festlegen
- Definition der Risikowahrscheinlichkeiten und -auswirkungen
- als Unterstützung der Risikoanalyse
- Prozesse im Risikomanagement
- Risikoidentifikation
- Für eine Beherrschung der Risiken, muss man diese zunächst kennen
- Bestimmung von Risiken unterschiedlicher Art
- Kontinuierliche Durchführung und Bestimmung
- einzelne Risiken sind zu Beginn nicht absehbar
- es entwickeln sich neue oder übersehene Risiken
- Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
- Nach Identifizierung von Risiken
- Priorisierung mit Hilfe der Risikoanalyse
- Risikokategorien
- Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
- Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
- Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
Schlussfolgerung
- Auch bei einfachem Angreifermodell sehr hohes Risiko
- Passworte sollten nur verschlüsselt übertragen werden!
- Zeitliche Entwicklung beachten
Leitbild für das IT-Management
- Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
- Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
- Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
- Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
- In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
- COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.